企業デバイスの登録はオプションです。この登録を行う主なメリットは、Workspace ONE UEM への加入を登録済みデバイスのみに制限できることです。

登録のメリット

登録済みデバイスの加入を制限するほかに、加入状態を追跡できるメリットもあります。これにより、加入済みユーザーと未加入ユーザーを把握できます。加入していないユーザーがわかれば、そのユーザーに通知することができます。

Workspace ONE UEM では、ユーザーまたは管理者のデータ入力の段階でデバイス識別子がない場合でも、デバイスを正常に登録することができます。

加入前にデバイスを登録する 3 番目のメリットは、セキュリティです。登録済みデバイスでは、初めてログインするユーザーは、登録されているユーザーと同一の人物であると予期します。別のユーザーが登録済みデバイスにログインしようとすると、デバイスがロックされ加入することはできません。

加入に関する検討事項

加入プロセスの前にデバイス登録プロセスを進めたい場合、次を検討してください。

デバイスの登録を行うのはどなたでしょうか。

デバイスを登録するうえで考慮すべき重要なことは、実際のデバイスの登録をだれが行うか、ということです。

  • 貴社の展開におけるデバイスの総数は何台ですか。デバイスが数千台ある大規模環境の場合、この情報を CSV (コンマ区切り値) 形式ファイルに追加できます。デバイスがプロビジョニングされる前に、このファイルをアップロードします。このページのセクション「[デバイスを個別に登録する]」および「[複数のデバイスを登録する]」を参照してください。
  • 従業員に個人デバイスの使用を許可する BYOD プログラムをサポートしますか。登録済みデバイスのみが加入できるように制限する場合は、従業員に自分のデバイスの登録方法を伝えることができます。このページの次のセクション「[SSP を使用したエンド ユーザーによるデバイスの登録]」を参照してください。

SSP を使用したエンド ユーザーによるデバイスの登録

BYOD をサポートしている場合、Workspace ONE UEM に加入する前に自分のデバイスを登録するようにエンドユーザーに指示することができます。また、加入のトラッキングを行ったり、登録トークンを使用したりする場合は、企業所有デバイスを使用するユーザーにもデバイスの登録を求めることができます。いずれの場合でも、実行する必要のあるプロセスについてエンド ユーザーに通知する必要があります。

以下の説明では、エンドユーザーが Workspace ONE UEM の資格情報(既存のディレクトリ サービスの資格情報、またはこれまでにアクティブ化した AirWatch ユーザー アカウント)を持っていることが前提となっています。手動でユーザーを追加するのではなく、ディレクトリ サービスを利用して加入を行う場合は、すでに作成されているユーザー アカウントはないことになります。

その場合、エンドユーザーにデバイスを登録してもらうには、Workspace ONE UEM の外部で、E メールを送信するかイントラネットの通知で各ユーザー グループに登録手順を伝える必要があります。Active Directory あるいは認証プロキシによる認証が有効になっていることを [デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] > [認証] と進んで確認してください。

[不明なユーザーを拒否] のボックスにチェックが入っていないことを [デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] > [制限事項] と進んで確認してください。

  • Workspace ONE UEM 外のユーザーに E メールまたはイントラネット通知を送信し、登録手順を説明します。
  • すべてのエンド ユーザーがデバイスを登録できるようにユーザー アカウントを先に作成し、その後、各ユーザーに登録手順の説明を含んだユーザー アカウント アクティブ化のメッセージを送信する方法もあります。

エンドユーザーに送信する登録メッセージに、これら 5 つのステップを含めると、デバイスの登録に何が必要かをユーザーに通知することができます。

  1. セルフサービス ポータル (SSP) URL に移動します。これは、[https://<UEM_Environment>/MyDevice] のような形式をとり、<UEM_Environment> には、貴社環境の加入 URL が入ります。
  2. ログインするため、[グループ ID] と資格情報 (Eメール アドレスまたはユーザー名、およびパスワード) を入力します。

    ディレクトリ ユーザーの場合、これらの資格情報はディレクトリ サービスの資格情報と同じであることがあります。

  3. [デバイスを追加] を選択し、[デバイス登録] フォームを開きます。
  4. デバイス情報を入力するため、[デバイス登録] フォームの必須テキスト ボックスの値を指定します。
  5. [保存] を選択して、送信およびデバイスの登録を行います。

登録済みデバイスのみに加入を制限する

この時点で、デバイスを登録したのが管理者でもエンドユーザーでも、登録したデバイスのみが加入できるように制限することができます。これを行うには、[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[登録済みデバイスのみ] を選択します。

加入状態の追跡

場合によっては、デバイス登録の過程でトラブルシューティングが必要となったり、登録プロセス全体の状況を追跡したりすることが必要になることがあります。登録手順を説明したメッセージをエンド ユーザーが誤って削除してしまったり、指定された有効期限内に認証を行わなかったりすることがあるかもしれません。

デバイスが登録されると、加入状態をトラッキングできます。[デバイス ダッシュボード] 画面を開き、[加入] チャートを選択すると、加入状態でフィルタをかけることができます。また、Monitor にアクセスすると、最近加入したデバイスを確認できます。

[デバイス] > [ライフサイクル] > [加入状態] の順に進み、[加入状態] 画面にアクセスして加入状態を管理します。デバイスの加入状態を追跡するには、リストを [加入状態] カラムで並べ替えるか、リスト表示に [加入状態] でフィルタをかけます。

「加入状態」画面から、登録済みだが未加入のデバイスのカスタム リストを生成します。次に、このカスタム リストですべてのデバイスを選択して、加入の手順を再送信します。十分な日数が経過してもデバイスが加入されない場合は、登録トークンをリセットまたは取り消しすることもできます。

詳細は、「加入状態」を参照してください。

加入時のユーザー グループの同期

アプリケーションの割り当て、デバイス プロファイルの割り当て、順守ポリシーの割り当て、またはユーザー グループに関してのユーザー マッピングを編成する場合は、ユーザー グループの同期設定を既定の設定である有効に維持することを考慮します。この設定により、Workspace ONE はデバイス レコードが作成されるたびに認証サーバにリアルタイムで呼び出しを行います。

詳細については、「グループ化」タブで加入オプションを構成する のセクション「[ユーザー グループ同期]」を参照してください。

デバイスを個別に登録する

登録するデバイスの数が少ない場合は、デバイスを個別に登録できます。

  1. Workspace ONE UEM Console のほぼすべての画面の右上にあるクアドラントの中の [追加] ボタンをクリックします。クリックすると、ボタンに複数のオプションを含むドロップダウン メニューが表示されます。

    [追加] ボタン ドロップダウン メニューのスクリーンショットには、管理者、デバイス、ユーザー、コンプライアンス ポリシー、プロファイル、およびその他のコンテンツを追加するためのオプションが表示されます。

  2. [デバイス] を選択します。

    [デバイスを追加] 画面が表示されます。

  3. [ユーザー] タブから始めて、必要に応じてオプションを入力します。
    設定 説明
    ユーザー セクション
    [検索テキスト]

    ユーザーを検索するには、検索パラメータを入力し、[ユーザーを検索] ボタンをクリックします。

    検索ができたら、デバイスを登録するユーザー アカウントを選択します。[セキュリティ タイプ]、[ユーザー名]、[パスワード]、および [Eメール アドレス] を含むいくつかの事前入力済みのテキスト ボックスが表示されます。これらのテキスト ボックスを編集するには、高度なユーザー詳細を表示します。

    デバイス セクション
    [予想されるフレンドリ名] デバイスのフレンドリ名前を入力します。このテキスト ボックスでは [参照値] を使用できます。参照値を挿入するにはプラス マークをクリックします。詳細は、「参照値」を参照してください。
    [組織グループ] デバイスが属する組織グループを選択します。
    [所有形態] デバイスの所有形態レベルを選択します。
    [プラットフォーム] デバイスのプラットフォームを選択します。
    [デバイス情報の高度なオプションを表示] デバイスの高度な情報が表示されます。
    [モデル] デバイス モデルを選択します。このドロップダウン メニューのオプションは、選択した [プラットフォーム] によって異なります。
    [OS] デバイスの OS を選択します。このドロップダウン メニューのオプションは、選択した [プラットフォーム] によって異なります。
    [UDID]* デバイスに固有のデバイス識別子 (UDID) を入力します。
    [シリアル番号]* ‡ デバイスのシリアル番号を入力します。
    [IMEI]* デバイスの国際端末識別番号 (IMEI) を入力します。
    [SIM]* デバイスの SIM を入力します。
    [アセット番号]* デバイスのアセット番号を入力します。
    メッセージ セクション
    [メッセージタイプ]

    デバイス追加時にユーザーに送信されるメッセージのタイプです。[なし][E メール][SMS*] のいずれかを選択します。

    Eメールを選択する場合は、有効な Eメールアドレスを入力する必要があります。また Eメール メッセージ テンプレートを選択する必要もあります。

    SMS を選択する場合は、国番号、市外局番を含んだ形式の電話番号を入力する必要があります。SMS 料金が発生する場合があります。また SMS メッセージ テンプレートを選択する必要もあります。

    [メールアドレス] Eメールメッセージ タイプを選択した場合は必ず入力してください。
    [Eメールメッセージテンプレート] Eメールメッセージ タイプを選択した場合は必ず入力してください。ドロップダウン メニューからテンプレートを選択します。[メッセージ プレビュー] ボタンを使用して Eメール メッセージを確認することができます。
    [電話番号] SMS* メッセージ タイプを選択した場合は必ず入力してください。
    [SMS メッセージ テンプレート] SMS* メッセージ タイプを選択した場合は必ず入力してください。ドロップダウン リストからテンプレートを選択します。[メッセージ プレビュー] ボタンを使用して SMS メッセージを確認することができます。

    [*] SMS 通知を多量のデバイスで機能させるには、サードパーティのゲートウェイ プロバイダのアカウントを持っていて、ゲートウェイ設定を構成する必要があります。[グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [SMS]の順に進み、「SMS Settings」で説明されているオプションを入力します。

    * デバイスを登録するには、このマークが付いているフィールドのうち少なくとも 1 つは入力されている必要があります。

    § Windows デスクトップ デバイスを登録するには、デバイスのシリアル番号を入力する必要があります。

  4. (オプション)[カスタム属性] タブに入力します。
    設定 説明
    [追加]

    カスタム [属性] と、対応する [アプリケーション] および [値] を追加します。

    デバイスの追加時にカスタム属性機能を使用するには、カスタム属性がすでに作成されている必要があります。これを行う場合は、Custom Attributes Overview を参照してください。

    [アプリケーション] 属性を収集するアプリケーションを選択します。
    [属性] ドロップダウン メニューからカスタム属性を選択します。
    [値] ドロップダウン メニューからカスタム属性の値を選択します。
  5. (オプション)[タグ] タブに入力します。
    設定 説明
    [追加]

    [タグ] をデバイスに追加します。

    [タグ] 既存のタグのドロップダウン メニューからタグを選択します。
  6. [保存] をクリックしてデバイス登録プロセスを完了します。

[結果:]これでデバイスは手順 3 で指定した Workspace ONE UEM の選択したユーザー アカウントに登録されました。

[次に行うこと:]このユーザーにこのデバイスを提供し、ユーザーがログインして加入プロセスを完了することができます。登録済みのユーザーの前に別のユーザーがこのデバイスにログインしようとすると、デバイスがロックされ、加入できなくなります。

複数のデバイスを登録する

登録するデバイスが何百台、何十台もある場合は、バッチ インポート処理が最適です。

  1. [アカウント] > [ユーザー] > [リスト表示] または [デバイス] > [ライフサイクル] > [加入状態] の順に進みます。
    1. [追加] を選択し、[バッチ インポート] を選択して、[バッチ インポート] 画面を表示します。
  2. 必須オプション [バッチ名][バッチ説明][バッチタイプ] をそれぞれ入力します。

    [[バッチ ファイル (.csv)]] オプション内には、ユーザーとそのデバイスを一括でロードするための、タスクベースのテンプレートのリストが示されます。

  3. 適切なダウンロード テンプレートを選択し、アクセス可能な場所にコンマ区切り値 (CSV) ファイルを保存します。
  4. .csv ファイルを保存した場所から Excel でファイルを開き、各デバイスに関してインポートするすべての関連情報をテンプレートに入力します。

    各テンプレートには、各カラムに記入する内容 (とその形式) がわかりやすいよう、入力例が自動入力されています。アスタリスク (*) で表される CSV ファイル内のフィールドは必須です。

  5. テンプレートの入力完了後、.csv ファイルとして保存します。UEM コンソールに戻り、[バッチ インポート] 画面の [ファイルを選択] ボタンを選択し、作成して保存した .csv ファイルへのパスをたどり、そのファイルを選択します。
  6. [保存] をクリックして、リスト上のすべてのユーザーと対応するデバイスの登録を完了します。

登録トークン

登録済みのデバイスのみが加入できるように制限する場合、登録トークンを要求するオプションも使用することができます。その特定のユーザーに加入が認められているかどうかを確認できるため、このオプションを使用するとセキュリティを強化できます。

Workspace ONE UEM アカウントを持つユーザーに、加入トークンを添付した E メールか SMS メッセージを送信することができます。
注: SMS 通知を多量のデバイスで機能させるには、サードパーティのゲートウェイ プロバイダのアカウントを持っていて、ゲートウェイ設定を構成する必要があります。 [グループと設定] > [すべての設定] > [システム] > [エンタープライズ統合] > [SMS]の順に進み、「 SMS Settings」で説明されているオプションを入力します。

登録トークンを有効にする

  1. トークンを使用した加入処理を有効にするため、適切な組織グループを選択します。[デバイス] > [デバイス設定] > [デバイスとユーザー] > [全般] > [加入] の順に進み、[認証化] タブが選択されていることを確認します。
  2. 下へスクロールして [[はじめに]] セクションを表示し、[[デバイス加入モード]][[登録済みデバイスのみ]] を選択します。

    [[登録トークンを要求する]] というラベルのトグルが表示されます。これを有効にすると、トークンを使用して登録されたデバイスのみが加入できるようになります。

    このスクリーンショットは、すべての [登録トークン] オプションが有効になっている場合の、[全般] > [加入] 設定の [認証] タブを示しています。

  3. [登録トークンのタイプ] を選択します。以下から選択します。
    • [単一要素] – 加入にはトークンのみが求められます。
    • [二要素] – 加入にはトークンと、ユーザー資格情報を使用したログインが求められます。
  4. [登録トークンの長さ] を設定します。

    この必須フィールドでは、登録トークンの複雑さを指定します。長さには、英数字の文字数として 6 ~ 20 の値を入力する必要があります。

  5. [トークンの有効期限] (時間) を設定します。

    この必須フィールドでは、エンド ユーザーがリンクを選択してデバイスを加入させるまでの制限時間を指定します。この期限を超過した場合、別のリンクを送信する必要があります。

トークンの生成

登録トークンを生成し、送信する必要があります。これは、モバイル デバイスを登録するための非常に安全な方法です。トークンを生成するには 2 つの方法があります。[UEM Console] を使用する方法と、[セルフサービス ポータル] を使用する方法です。

UEM Console セルフサービス ポータル
  1. [アカウント] > [ユーザー] > [リスト表示] の順に進み、ユーザーに対して [ユーザーの編集] を選択します。「ユーザーを追加/編集」 画面が表示されます。
  2. 下にスクロールして、[メッセージ タイプ] を選択します。以下から選択します。
    • ディレクトリ ユーザーの場合は [E メール] を選択し、
    • ベーシック ユーザー アカウントの場合は [SMS] を選択します。
  3. [メッセージ テンプレート] を選択します。次に、[保存してデバイスを追加] を選択します。[デバイスを追加] 画面が表示されます。

    既定のテンプレートを使用するか、テンプレートを作成することができます。テンプレートを作成するには、下にあるリンクを選択して、新しいタブで [メッセージ テンプレート] 画面を表示します。

  4. デバイスに関する [全般] 情報および [メッセージ] 自体の確認情報を確認します。完了したら、[保存] を選択すると、選択したメッセージ タイプでユーザーにトークンが送信されます。
注: セキュリティ保護のため、UEM コンソールでトークンにアクセスすることはできません。
  1. セルフサービス ポータルにログインします。

    認証にシングル サインオンまたはスマートカードを使用している場合は、デバイスまたはコンピュータ上からログインできます。ディレクトリ ユーザーはディレクトリ サービスの資格情報を使用してログインできます。

  2. [デバイスを追加] を選択します。
  3. [デバイスを登録する] フォームの各フィールドに入力して、デバイス情報 (フレンドリ名とプラットフォーム) およびその他の詳細情報を入力します。E メール アドレスと電話番号は、自動的に設定されないため、正しく入力されていることを確認します。
  4. [保存] を選択すると、選択したメッセージ タイプでユーザーに加入トークンが送信されます。
注: トークンはこの画面には表示されず、送信されるメッセージでのみ確認できます。

セキュリティ機能として、トークンを使用して加入されたアカウントに以下の変更が行われています。

  • [[デバイスを追加]] 画面と [[アカウント]] 画面の両方のメール アドレスと電話番号は読み取り専用になりました。
  • [加入メッセージを表示する] アクションは削除されました。

エンド ユーザーがトークンを使用して加入する手順

エンド ユーザーは、登録トークンを使用して、非常に安全な認証方法でデバイスを登録できます。

  1. デバイスで SMS または Eメール メッセージを開き、加入トークンを含むリンクを選択します。加入画面でグループ ID またはトークンの入力を求められたら、トークンを直接入力します。
  2. 二要素認証が使用されている場合は、ユーザー名またはパスワードを入力します。
  3. 通常通り、加入プロセスを続行します。

[結果:]完了すると、デバイスは、トークンの対象ユーザーに関連付けられます。

[次に行うこと:]デバイスに MDM プロファイルがインストールされると、そのトークンは「使用中」と見なされ、ほかのデバイスの加入には使用できなくなります。加入が完了しなかった場合は、そのトークンを他のデバイスで使用することができます。管理者が入力した期限を過ぎてトークンが失効した場合は、別の加入トークンを生成する必要があります。

登録の際にデバイス識別子がない場合

デバイス登録時のデータに、UDID、IMEI やシリアル番号のようなデバイス識別子が含まれない場合、Workspace ONE UEM は、これらの属性を使用し、加入デバイスをその登録レコードに自動的に関連付けます。

不適切な登録情報が提供された場合、次のランク付けにより、Workspace ONE UEM はデバイスを正常に登録します。

  1. デバイスの登録先のユーザー
  2. プラットフォーム(指定されている場合)
  3. モデル(指定されている場合)
  4. 所有形態(指定されている場合)
  5. 関連する登録レコードのうちの最も古い日付